Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel ist eine wichtige Komponente des Leitfadens für die australische Regierung Microsoft Purview Information Protection. Es werden pspf-Anforderungen (Protective Security Policy Framework) aufgelistet, die für Microsoft Purview-Konfigurationen relevant sind. Es enthält auch Anleitungen dazu, wie Microsoft Purview und andere Microsoft 365-Funktionen so konfiguriert werden können, dass sie die angegebenen Anforderungen erfüllen, und enthält Links zu Abschnitten des Leitfadens, in denen diese Funktionen näher erläutert werden.
Framework für Schutzsicherheitsrichtlinien
Das Protective Security Policy Framework (PSPF) legt die Mindestsicherheitsstandards der australischen Regierung fest, um eine effektive und effiziente sichere Bereitstellung von Regierungsgeschäften im In- und Ausland zu erreichen.
Weitere Informationen zu PSPF finden Sie unter Framework für Schutzsicherheitsrichtlinien.
Die folgenden Abschnitte von PSPF Release 2024 beziehen sich am ehesten auf Microsoft Purview Information Protection Konfigurationen:
- Abschnitt 9 – Klassifizierungen & Einschränkungen
- Abschnitt 10 - Informationsbetriebe
- Abschnitt 12 – Informationsaustausch
- Abschnitt 17 – Zugriff auf Ressourcen
Der Schlüssel zum Verständnis der PSPF-Anwendung auf E-Mail-Dienste ist die Standard der australischen Regierung Email Schutzkennzeichnung, auf die in diesem Dokument verwiesen wird.
PSPF enthält einen Berichterstellungsmechanismus, mit dem Organisationen über ihren Reifegrad in den verschiedenen PSPF-Richtlinien berichten können. Dieser Leitfaden soll es Organisationen mit geringem Reifegrad ermöglichen, ihre PSPF-Reife mit geringerem Aufwand auf die Ebenen "Verwalten" oder "Eingebettet" zu verbessern. Weitere Informationen zu PSPF-Reifegraden finden Sie unter Schutzsicherheitsrichtlinien-Framework-Bewertungsbericht 2022-23
PSPF Abschnitt 9 – Klassifizierungen & Einschränkungen
Die hier aufgeführten Anforderungen basieren auf PSPF Release 2024, Abschnitt 9 – Klassifizierung & Einschränkungen (aktualisiert am 1. November 2024).
PSPF Abschnitt 9 erläutert, wie Entitäten die Vertraulichkeits- oder Sicherheitsklassifizierung ihrer Informationen richtig bewerten und Kennzeichnungs-, Handhabungs-, Aufbewahrungs- und Entsorgungsvereinbarungen annehmen, die vor Einer Kompromittierung von Informationen schützen.
Es werden nur Anforderungen aufgeführt, die für Microsoft Purview und die zugehörigen Konfigurationen relevant sind.
Anforderung 58
Der Absender bleibt für die Kontrolle der Bereinigung, Neuklassifizierung oder Deklassifizierung von offiziellen und sicherheitsrelevanten Informationen verantwortlich und genehmigt alle Änderungen an der Sicherheitsklassifizierung der Informationen.
| Lösungsfunktion | Abschnitt |
|---|---|
| Notieren Sie eine überprüfbare Spur aller bezeichnungsbezogenen Aktivitäten, einschließlich des Entfernens oder Verringerns von angewendeten Vertraulichkeitsbezeichnungen. Zeichnen Sie Bezeichnungsänderungsaktivitäten auf, einschließlich des Benutzers, der die Änderung vorgenommen hat, und deren Begründung dafür. |
Begründung für Bezeichnungsänderungen Überwachungsprotokoll |
| Bericht über Benutzer, die Aktivitäten durchführen, die als risikobehaftet für die Informationssicherheit eingestuft werden, einschließlich Downgrade- und Exfiltrationssequenzen für Bezeichnungen. |
Benutzerrisikobasierter Ansatz Überwachen der Freigabe durch Insider-Risikomanagement |
| Erzwingen Sie automatisch andere Datenschutzkontrollen für Benutzer, die riskante Aktivitäten ausführen, z. B. das Herabsetzen einer angewendeten Sicherheitsklassifizierung. | Adaptiver Schutz |
| Wenden Sie Verschlüsselung auf Elemente an, die interne oder gastinterne Möglichkeiten zum Ändern von Elementen einschränken, das Element beibehalten und die Markierung/Klassifizierung angewendet haben. | Zuweisen von Bezeichnungsverschlüsselungsberechtigungen |
| Erkennen von Elementen mit niedrigerer Klassifizierung über Schutzmarkierungen und Verhindern ihrer weiteren Verteilung. | Blockieren von neu klassifizierten E-Mails |
| Verhindern Sie die Neuklassifizierung, indem Sie Elemente als Datensätze deklarieren und sie für alle weiteren Änderungen sperren, einschließlich der Änderungen an der angewendeten Vertraulichkeitsbezeichnung. | Verhindern der Neuklassifizierung |
Anforderung 59
Der Wert, die Wichtigkeit oder die Vertraulichkeit von amtlichen Informationen (die für die Verwendung als amtliches Protokoll bestimmt sind) wird vom Urheber bewertet, indem der potenzielle Schaden für die Regierung, die nationalen Interessen, Organisationen oder Einzelpersonen berücksichtigt wird, die entstehen würden, wenn die Vertraulichkeit der Informationen kompromittiert würde.
| Lösungsfunktion | Abschnitt |
|---|---|
| Benutzer müssen die Vertraulichkeit von Elementen (Dateien und E-Mails) über Vertraulichkeitsbezeichnungen identifizieren. |
Beschriftungsclienterfahrung Verbindliche Bezeichnung PDF-Integration von Vertraulichkeitsbezeichnungen |
| Wenden Sie Schutzmarkierungen auf Standorte (Websites und Teams) an, und wenden Sie Schutz auf markierte Standorte an. | Konfiguration von Vertraulichkeitsbezeichnungsgruppen und Standorten |
| Definieren Sie die Vertraulichkeit von Besprechungen, und implementieren Sie die zugehörigen Betriebskontrollen. | Vertraulichkeitsbezeichnungen für Kalenderelemente und Teambesprechungen |
| Benutzer müssen die Vertraulichkeit von Power BI-Arbeitsbereichen über Vertraulichkeitsbezeichnungen identifizieren. | Power BI und Datenintegration |
| Wenden Sie Bezeichnungen auf vertrauliche Informationen an, die sich in Datenbanksystemen befinden. | Azure Data Governance |
| Wenden Sie E-Mail-Header an, die verwendet werden können, um die Vertraulichkeit eingehender Elemente zu identifizieren und geeignete Steuerelemente anzuwenden. | Bezeichnung von E-Mails während des Transports |
Anforderung 60
Die Sicherheitsklassifizierung wird auf der niedrigsten angemessenen Ebene festgelegt.
| Lösungsfunktion | Abschnitt |
|---|---|
| Bieten Sie Benutzern die Möglichkeit, den Wert, die Wichtigkeit und die Vertraulichkeit von Elementen bei der Auswahl einer Vertraulichkeitsbezeichnung zu bewerten. | Verbindliche Bezeichnung |
| Führen Sie Benutzer bei der Bewertung der Elementempfindlichkeit durch Popupdialogfelder mit Bezeichnungsbeschreibungen, die während der Bezeichnungsauswahl sichtbar sind. | Bezeichnungsbeschreibung für Benutzer |
| Bietet die Möglichkeit, einen organization spezifischen Link Weitere Informationen zu konfigurieren, auf den über das Bezeichnungsauswahlmenü zugegriffen werden kann, und kann Benutzern weitere Anleitungen zu geeigneten Bezeichnungen für Arten von Informationen bereitstellen. | Benutzerdefinierte Hilfeseite |
| Unterstützt die Benutzer bei der Bewertung von Informationsbeständen, indem unterklassige Posten erkannt und gegebenenfalls eine erneute Bewertung empfohlen wird. | Empfehlen von Bezeichnungen basierend auf der Erkennung vertraulicher Inhalte |
| Unterstützt die Bewertung von Informationen, indem vertrauliche Daten identifiziert werden, die von Datenbankanwendungen oder ähnlichen Plattformen stammen oder darin vorhanden sind. | Genaue Daten stimmen mit vertraulichen Informationstypen überein |
| Unterstützen Sie die Bewertung von Informationen, indem Sie maschinelles Lernen verwenden, um Elemente zu identifizieren, die normalerweise als vertraulich angesehen werden. | Trainierbare Klassifizierer |
| Unterstützen Sie Benutzer bei der Bewertung von Informationsbeständen, indem Sie Bezeichnungen empfehlen, die auf von externen Organisationen angewendete Markierungen abgestimmt sind. | Empfehlungen auf Der Grundlage von Kennzeichnungen externer Behörden |
| Unterstützen Sie Benutzer bei der Bewertung von Informationsbeständen, indem Sie Bezeichnungen empfehlen, die an historischen Markierungen ausgerichtet sind. |
Empfehlungen basierend auf Verlaufsmarkierungen Automatische Bezeichnung von Elementen mit historischen Sicherheitsklassifizierungen |
| Unterstützen Sie Benutzer bei der Bewertung von Informationsbeständen, indem Sie Bezeichnungen empfehlen, die mit Markierungen übereinstimmen, die von Nicht-Microsoft-Klassifizierungslösungen angewendet wurden. | Empfehlungen basierend auf Markierungen, die von Nicht-Microsoft-Tools angewendet werden |
| Unterstützung bei der Bewertung von Informationen durch Bereitstellen visueller Benachrichtigungen für Benutzer über DLP-Richtlinientipp , wenn vertrauliche Informationen in einem Element erkannt werden. | DLP-Richtlinientipps vor Verstoß |
| Identifizieren Sie vertrauliche Informationen, die sich in Datenbanksystemen befinden, bezeichnen Sie die Informationen an Ort und Stelle, und lassen Sie zu, dass die Bezeichnung auf Downstreamsystemen geerbt wird. |
Power BI und Azure Purview Beschriftungen in Microsoft Purview Data Map |
Anforderung 61
Sicherheitsreklassifizierungsinformationen werden eindeutig mit der geltenden Sicherheitsklassifizierung und gegebenenfalls mit Sicherheitshinweisen gekennzeichnet, indem textbasierte Kennzeichnungen verwendet werden, sofern dies aus betrieblichen Gründen nicht praktikabel ist.
| Lösungsfunktion | Abschnitt |
|---|---|
| Wenden Sie textbasierte Schutzkennzeichnungen an, um vertrauliche und sicherheitsrelevante Informationen zu kennzeichnen. |
Inhaltskennzeichnung für Vertraulichkeitsbezeichnungen Strategien zur Informationsmarkierung |
| Microsoft Office-Clients bieten eine klare Identifizierung der Vertraulichkeit eines Elements über clientbasierte Bezeichnungsmarkierungen. | Beschriftungsclienterfahrung |
| Wenden Sie farbcodierte Markierungen an, um Benutzer bei der Identifizierung der Vertraulichkeit zu unterstützen. | Bezeichnungsfarbe |
| Wenden Sie Markierungen auf Standorte an, z. B. Websites oder Teams. Diese Markierungen identifizieren die höchste Ebene der Elementempfindlichkeit, die am Standort/Container vorhanden sein sollte. | Out-of-Place-Warnungen für Daten |
| Identifizieren Sie die Elementempfindlichkeit für Benutzer eindeutig, wenn Sie in SharePoint-basierten Verzeichnissen (Websites, Teams oder OneDrive) arbeiten. | SharePoint-Speicherort und Elementempfindlichkeit |
Anforderung 62
Die Mindestanforderungen an Schutz und Handhabung werden angewendet, um OFFIZIELLE und sicherheitsrelevante Informationen zu schützen.
| Lösungsfunktion | Abschnitt |
|---|---|
| In Microsoft 365-Rechenzentren gespeicherte Informationen werden im Ruhezustand per BitLocker-Verschlüsselung verschlüsselt. | Übersicht über die Verschlüsselung |
| Fordern Sie die TLS-Verschlüsselung (Transport Layer Security) für die E-Mail-basierte Übertragung vertraulicher Elemente an, um sicherzustellen, dass sie bei der Übertragung über öffentliche Netzwerke verschlüsselt werden. | Anfordern der TLS-Verschlüsselung für die Übertragung vertraulicher E-Mails |
| Konfigurieren Sie eine präzise Zugriffssteuerung für markierte Standorte (Websites oder Teams) und blockieren Sie Benutzer, Geräte oder Standorte, die die Zugriffsanforderungen oder freigaben nicht erfüllen. |
Einschränkungen für nicht verwaltete Geräte Authentifizierungskontext |
| Behalten Sie die Prinzipien von "Need to Know" bei, indem Sie die Freigabe, den Gastzugriff und die Datenschutzkonfiguration markierter Standorte einschränken. | Konfiguration von Vertraulichkeitsbezeichnungsgruppen und Standorten |
| Wenden Sie DLP-Richtlinien an, um sicherzustellen, dass Sie wissen müssen, und beschränken Sie die Verteilung von Elementen auf nicht autorisierte oder unklare interne Benutzer und externe Organisationen. | Einschränken der Verteilung vertraulicher Informationen |
| Verschlüsseln Sie vertrauliche oder sicherheitsrelevante Elemente, indem Sie Zugriffssteuerungen bereitstellen und sicherstellen, dass nur autorisierte Benutzer Zugriff auf die enthaltenen Informationen haben, unabhängig vom Speicherort des Elements. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Wenden Sie Schutzmechanismen wie Verschlüsselung, Freigabe und DLP-bezogene Steuerelemente auf Exporte oder PDF-Dateien an, die aus bezeichneten Quellsystemen generiert werden. | Power BI und Datenintegration |
| Identifizieren Sie Elemente, die mit historischen Sicherheitsklassifizierungen gekennzeichnet sind, und richten Sie entweder automatisch mit modernen Markierungen aus, oder behalten Sie die Verlaufsbezeichnung zusammen mit den erforderlichen Steuerelementen bei. | Empfehlungen basierend auf Verlaufsmarkierungen |
Anforderung 63
Die Sicherheitszwänge der australischen Regierung Standard und spezielle Handhabungsanforderungen, die von der Kontrollbehörde auferlegt werden, werden angewendet, um sicherheitsrelevante Informationen zu schützen.
| Lösungsfunktion | Abschnitt |
|---|---|
| Markieren Sie eingeschränkte Informationen und zugehörige Dissemination Limiting Markers (DLMs) oder Klassifizierungen über die Vertraulichkeitsbezeichnungsstruktur. | Erforderliche Taxonomie für Vertraulichkeitsbezeichnungen |
| Markieren Sie Einschränkungen für zugeordnete Elemente per Text. |
Inhaltskennzeichnung für Vertraulichkeitsbezeichnungen Themenbasierte Kennzeichnungen |
| Zeichnet alle ein- und ausgehenden Materialübertragungen auf. | Überwachungsprotokoll |
| Wenden Sie Einschränkungen für die Verteilung und/oder zugriffseinschränkungen an. |
Einschränken der Verteilung vertraulicher Informationen Verschlüsselung von Vertraulichkeitsbezeichnungen |
Anforderung 64
Sicherheitshinweise sind klar als Text gekennzeichnet und werden nur in Verbindung mit der Sicherheitsklassifizierung PROTECTED oder höher angezeigt.
| Lösungsfunktion | Abschnitt |
|---|---|
| Markieren Sie eingeschränkte Informationen und zugehörige Dissemination Limiting Markers (DLMs) oder Klassifizierungen über die Vertraulichkeitsbezeichnungsstruktur. | Erforderliche Taxonomie für Vertraulichkeitsbezeichnungen |
| Markieren Sie Einschränkungen für zugeordnete Elemente per Text. |
Inhaltskennzeichnung für Vertraulichkeitsbezeichnungen Themenbasierte Kennzeichnungen |
Anforderung 66
Rechenschaftspflichtige Materialien werden in Übereinstimmung mit allen speziellen Verarbeitungsanforderungen behandelt, die vom Absender und Dem Besitzer von Sicherheitshinweisen im Standard der australischen Regierung festgelegt wurden.
| Lösungsfunktion | Abschnitt |
|---|---|
| Konfigurieren Sie Vertraulichkeitsbezeichnungen, die auf verwertbares Material angewendet werden können, um die enthaltenen Informationen besser zu identifizieren und zu schützen. | Rechenschaftsfähiges Material |
| Verhindern Sie die nicht autorisierte Verteilung von verantwortlichem Material. | Verhindern einer unsachgemäßen Verteilung von sicherheitsrelevanten Informationen |
| Wenden Sie die Verschlüsselung auf Elemente an, damit nur autorisierte Benutzer darauf zugreifen können. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Identifizieren und Melden des Speicherorts von verantwortlichem Material in einer Microsoft 365-Umgebung. | inhaltsbezogene Explorer |
Anforderung 67
Die australische Regierung Email Schutzkennzeichnung Standard wird angewendet, um OFFIZIELLE und sicherheitsrelevante Verschlusssachen zu schützen, die per E-Mail in und zwischen australischen Behörden, einschließlich anderer autorisierter Parteien, ausgetauscht werden.
| Lösungsfunktion | Abschnitt |
|---|---|
| Wenden Sie Schutzmarkierungen auf E-Mails an, damit sie von empfangenden Regierungsorganisationen interpretiert werden können. | Email Kennzeichnungsstrategien mit Microsoft Purview für die australische Regierung |
| Wenden Sie Schutzmarkierungen über E-Mail-Metadaten (X-Header) an. | Anwenden von X-Schutzmarkierungsheadern über eine DLP-Richtlinie |
| Tragen Sie Schutzmarkierungen über den E-Mail-Betreff auf. | Anwenden von betreffbasierten E-Mail-Markierungen |
| Behalten Sie Klassifizierungen bei, indem Sie entsprechende Vertraulichkeitsbezeichnungen auf sicherheitsklassifizierende E-Mails am Empfang anwenden. | Bezeichnung von E-Mails während des Transports. |
Anforderung 68
Die Eigenschaft "Sicherheitsklassifizierung" (und gegebenenfalls die Eigenschaft "Sicherheitsklassifizierung") der Standard der australischen Regierung wird angewendet, um Informationen auf Technologiesystemen, die sicherheitszugesicherte Informationen speichern, verarbeiten oder kommunizieren, schützend zu kennzeichnen.
| Lösungsfunktion | Abschnitt |
|---|---|
| Indexsicherheitsklassifizierung und Sicherheitsbeschränkungen und Verbreitung begrenzende Markereigenschaften über die SharePoint-Suche, die an den AGRkMS-Anforderungen ausgerichtet sind. | Verwalten von Klassifizierungs- und Einschränkungsmetadaten |
| Wenden Sie X-Protective-Marking-X-Header an, um die Anforderungen an E-Mail-Metadaten gemäß PSPF-Richtlinie 8 Anhang F zu erfüllen. | Anwenden von X-Schutzmarkierungsheadern über eine DLP-Richtlinie |
| Wenden Sie Metadaten auf Datenbankspalten an, die vertrauliche Informationen in verbundenen Datenbanksystemen enthalten. | Power BI und Datenintegration |
Anforderung 69
Wenden Sie die Eigenschaft "Rights" des Standard der australischen Regierung recordkeeping Metadata an, wenn die Entität Informationsinhalte nach der Art der Zugriffsbeschränkungen kategorisieren möchte.
| Lösungsfunktion | Abschnitt |
|---|---|
| Implementieren Sie zusätzliche Metadateneigenschaften, um die entsprechende Verwaltung und Verwendung vertraulicher Datensätze oder Von Datensätzen mit bestimmten Zugriffs- und Verwendungseinschränkungen zu erleichtern. | Rights-Eigenschaft |
Anforderung 70
Sicherheitsrelevante Diskussionen und Verbreitung von sicherheitsrelevanten Informationen werden nur an genehmigten Orten gehalten.
| Lösungsfunktion | Abschnitt |
|---|---|
| Wenden Sie Schutzmarkierungen auf Teams-Besprechungseinladungen und Outlook-Kalenderelemente an. Wenden Sie Steuerelemente auf Kalenderelemente an, z. B. die Verschlüsselung von Besprechungsanlagen. |
Bezeichnung von Kalenderelementen |
| Wenden Sie Schutzmarkierungen auf Teams-Besprechungen an, und konfigurieren Sie erweiterte Steuerelemente zum Schutz von klassifizierten Unterhaltungen, einschließlich erweiterter Verschlüsselungstechniken und Besprechungswasserzeichen. End-to-End-Verschlüsselung von Teams-Unterhaltungen, die Benutzern die Sicherheit bietet, dass vertrauliche oder sicherheitsrelevante Diskussionen nicht abgefangen werden können. |
Teams Premium Bezeichnungskonfiguration |
PSPF Abschnitt 10 - Informationsbestände
Die hier aufgeführten Anforderungen basieren auf PSPF Release 2024, Abschnitt 10 – Information Holdings (aktualisiert am 1. November 2024).
Es werden nur Anforderungen aufgeführt, die für Microsoft Purview und die zugehörigen Konfigurationen relevant sind.
Anforderung 71
Die Entität implementiert operative Kontrollen für ihre Informationsbestände, die proportional zu ihrem Wert, ihrer Wichtigkeit und ihrer Vertraulichkeit sind.
| Lösungsfunktion | Abschnitt |
|---|---|
| Verhindern Sie die unangemessene Verteilung von sicherheitsrelevanten Informationen, indem Sie DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) verwenden, die auf Vertraulichkeitsbezeichnungen basieren. | Schützen von klassifizierten Informationen |
| Verhindern Sie die unangemessene Verteilung vertraulicher Informationen, indem Sie DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) für vertrauliche Inhalte verwenden. | Schützen vertraulicher Informationen |
| Stellen Sie visuelle Markierungen für einzelne Elemente bereit, die die Sicherheitsklassifizierung widerspiegeln, die auf Informationen innerhalb des Elements angewendet wird. | Inhaltskennzeichnung für Vertraulichkeitsbezeichnungen |
| Stellen Sie visuelle Markierungen bereit, die die höchste Vertraulichkeitsstufe widerspiegeln, die an einem Standort (Website oder Team) vorhanden sein sollte. | SharePoint-Speicherort und Elementempfindlichkeit |
| Konfigurieren Sie die Datenschutzeinstellungen des Standorts basierend auf der Vertraulichkeit, die auf den Standort angewendet wird. | Datenschutzeinstellungen für Bezeichnungen |
| Aktivieren oder deaktivieren Sie den Gastzugriff auf einen Speicherort und auf Elemente innerhalb eines Speicherorts basierend auf der Bezeichnung der angewendeten Speicherorte. | Gastzugriffskonfiguration |
| Steuern Sie die Microsoft 365-Freigabekonfiguration für einen SharePoint-basierten Standort (Website oder Team), abhängig von der Bezeichnung, die auf den Standort angewendet wird. | Konfiguration der Bezeichnungsfreigabe |
| Bereitstellen von Benutzerbenachrichtigungen und Warnungen für hochsensible Elemente, die sich an Speicherorten mit niedrigerer Vertraulichkeit befinden. | Out-of-Place-Warnungen für Daten |
| Konfigurieren Sie andere Anforderungen für den Zugriff auf hochsensible Standorte (Websites oder Teams). Beispielsweise von nicht verwalteten Geräten, unsicheren Geräten oder unbekannten Standorten. |
Bedingter Zugriff Authentifizierungskontext Schützen von klassifizierten Informationen Adaptiver Schutz |
| Verschlüsseln Sie hochsensible Elemente, um den Zugriff durch nicht autorisierte Benutzer zu verhindern, unabhängig vom Speicherort eines Elements. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Konfigurieren Sie Zugriffs- und Nutzungseinschränkungen für Gruppen von internen Benutzern oder Gästen. | Zuweisen von Bezeichnungsverschlüsselungsberechtigungen |
| Schränken Sie die Verschiebung von sicherheitsgesicherten Elementen und/oder deren enthaltenen Informationen an Orte ein, an denen der Zugriff oder die weitere Verteilung ihrer eingeschlossenen Informationen nicht gesteuert werden kann. |
Verhindern des Herunterladens oder Druckens von sicherheitsrelevanten Elementen Verhindern des Uploads von sicherheitsrelevanten Elementen an nicht verwaltete Speicherorte |
PSPF, Abschnitt 12– Informationsaustausch
Anforderung 75
Der Zugang zu sicherheitsrelevanten Informationen oder Ressourcen wird nur Personen außerhalb der Organisation mit der entsprechenden Sicherheitsfreigabe (falls erforderlich) und einer erforderlichen Kenntnis gewährt und gemäß den Mindestanforderungen für Schutz und Handhabung übertragen.
| Lösungsfunktion | Sections |
|---|---|
| Beschränken Sie den Zugriff auf Speicherorte, die vertrauliche oder klassifizierte Informationen enthalten, nur auf Benutzer, die autorisiert sind. | Authentifizierungskontext |
| Integrieren Sie Vertraulichkeitsbezeichnungen und DLP. Richtlinien können erstellt werden, um die Freigabe (per E-Mail oder Freigabeaktion) von Elementen mit bestimmten Markierungen mit nicht autorisierten Benutzern zu verhindern. |
Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Organisationen Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Benutzer Verhindern der Freigabe von sicherheitsrelevanten Informationen |
| Bereitstellen von DLP-Richtlinientipps, die Benutzer vor der Weitergabe von Informationen vor einem Richtlinienverstoß warnen, wodurch die Wahrscheinlichkeit der Offenlegung von Informationen aufgrund von Situationen wie einer fehlerhaften Identität verringert wird. | DLP-Richtlinientipps vor Verstoß |
| Überwachen, Warnen und/oder Blockieren von Versuchen, gekennzeichnete Elemente an Benutzer freizugeben oder per E-Mail an Benutzer zu senden, die nicht über eine entsprechende Sicherheitsfreigabe verfügen. | DLP-Ereignisverwaltung |
| Konfigurieren Sie Datenschutzoptionen für Websites oder Teams basierend auf der Markierung eines Standorts. Dies verhindert den offenen Zugriff auf Standorte für Benutzer, die nicht wissen müssen, und gibt Team- oder Standortbesitzern die Kontrolle über den Zugriff auf diese Standorte. Es hilft auch, unterstützende Anforderung 2 zu erfüllen, indem der Zugriff nicht automatisch basierend auf status, Rang oder Komfort bereitgestellt wird. | Datenschutzeinstellungen für Bezeichnungen |
| Konfigurieren Sie Freigabeeinschränkungen für eine Website oder ein Team, um sicherzustellen, dass Elemente an markierten Speicherorten nur für interne Benutzer freigegeben werden können. | Konfiguration der Bezeichnungsfreigabe |
| Verwenden Sie die Bezeichnungsverschlüsselung, um den Zugriff auf bezeichnete Inhalte zu steuern, und stellen Sie sicher, dass nur autorisierte Benutzer darauf zugreifen können. | Aktivieren der Bezeichnungsverschlüsselung |
| Warnung bei sicherheitsreklassierten oder markierten Informationen, die an Speicherorte mit niedrigerer Vertraulichkeit verschoben werden, auf die nicht autorisierte Benutzer leichter zugreifen können. | Out-of-Place-Warnungen für Daten |
Anforderung 76
Das Memorandum of Understanding zwischen Commonwealth, Staaten und Territorien wird angewendet, wenn Informationen mit staatlichen und gebietsstaatlichen Behörden geteilt werden.
| Lösungsfunktion | Sections |
|---|---|
| Staatliche Regierungsbehörden, die sicherheitsrelevante Informationen der australischen Regierung halten oder darauf zugreifen, wenden die in der PSPF enthaltenen schutzrelevanten Sicherheitsmaßnahmen auf diese Informationen an. | Anforderungen der australischen Regierung an die Microsoft Purview-Funktionszuordnung |
| Stellen Sie sicher, dass Informationen in Situationen bezeichnet und geschützt werden, in denen die Syntax der Sicherheitsklassifizierung von Bundesstaaten und Bundesstaaten nicht übereinstimmt. | Bezeichnungen für Organisationen mit unterschiedlichen Bezeichnungstaxonomien |
| Schützen Sie Informationen, die mit einer Sicherheitsklassifizierung der australischen Regierung klassifiziert sind. | Verhindern einer unsachgemäßen Verteilung von sicherheitsrelevanten Informationen |
| Sicherstellen, dass informationen, die mit einer Sicherheitsklassifizierung der australischen Regierung gekennzeichnet sind, unabhängig von der angewendeten Vertraulichkeitsbezeichnung durch Verhinderung von Datenverlust geschützt werden. | Steuern von E-Mails mit markierten Informationen |
Anforderung 77
Eine Vereinbarung oder Vereinbarung, z. B. ein Vertrag oder eine Urkunde, die Anforderungen und Schutzmaßnahmen für die Handhabung festlegt, ist vorhanden, bevor sicherheitsrelevante Informationen oder Ressourcen offengelegt oder mit einer Person oder organization außerhalb der Regierung geteilt werden.
| Lösungsfunktion | Sections |
|---|---|
| Konfigurieren Sie Nutzungsbedingungen als Teil einer Richtlinie für bedingten Zugriff, sodass Gäste den Bedingungen zustimmen müssen, bevor der Zugriff auf Elemente zulässig ist. Dies ergänzt schriftliche Vereinbarungen zwischen Organisationen. | Microsoft Entra B2B-Konfiguration (Business to Business) liegt außerhalb des Geltungsbereichs dieses Leitfadens1. Die Konzepte werden unter bedingtem Zugriff eingeführt. |
| Implementieren Sie Einschränkungen, um nicht nur die Freigabe von sicherheitsmarkierten oder klassifizierten Informationen, sondern auch anderer Arten vertraulicher Informationen mit externen Organisationen zu verhindern. Ausnahmen können auf diese Richtlinien angewendet werden, sodass die Freigabe für eine genehmigte Liste von Organisationen zulässig ist, für die formelle Vereinbarungen getroffen werden. | Einschränken der Verteilung vertraulicher Informationen |
| Konfigurieren Sie die Verschlüsselung, um den Zugriff auf Informationen (Dateien oder E-Mails) auf Gäste zu beschränken, mit Ausnahme von Benutzern oder Organisationen, für die Berechtigungen konfiguriert sind. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Konfigurieren Sie den Gastzugriff, um Zusammenarbeitsaktivitäten (einschließlich Freigabe, Coedit, Chat und Teams-Mitgliedschaft) nur mit genehmigten Organisationen zuzulassen, mit denen formelle Vereinbarungen bestehen. | Microsoft Entra B2B-Konfiguration liegt außerhalb des Rahmens dieses Leitfadens1. Die Konzepte oder das Einschränken des Gastzugriffs auf bezeichnete Elemente werden unter Gastzugriffskonfiguration eingeführt. |
| Überwachen Sie den Gastzugriff und die Mitgliedschaft, und fordern Sie Ressourcenbesitzer auf, Gäste zu entfernen, wenn sie nicht mehr benötigt werden, und empfehlen Sie das Entfernen, wenn nicht auf Ressourcen zugegriffen wird. | Microsoft Entra B2B-Konfiguration liegt außerhalb des Geltungsbereichs dieses Leitfadens1, 2. |
Hinweis
1 Weitere Informationen zur Microsoft Entra B2B-Konfiguration finden Sie unter Microsoft Cloud Settings for B2B collaboration (Microsoft-Cloudeinstellungen für die B2B-Zusammenarbeit).
2 Weitere Informationen zu Zugriffsüberprüfungen finden Sie unter Zugriffsüberprüfungen.
PSPF- Abschnitt 17 – Zugriff auf Ressourcen
Anforderung 129
Der Zugang zu offiziellen Informationen wird den Mitarbeitern der Entität und anderen relevanten Interessengruppen erleichtert.
| Lösungsfunktion | Abschnitt |
|---|---|
| Schränken Sie die Freigabe, den Datenschutz und/oder den Gastzugriff basierend auf der Vertraulichkeitsbezeichnung ein, die auf einen Team- oder SharePoint-Standort angewendet wird. | Konfiguration von Vertraulichkeitsbezeichnungsgruppen und Standorten |
| Schränken Sie die Freigabe ein, oder warnen Sie Benutzer, wenn sie versuchen, gekennzeichnete Inhalte für nicht autorisierte interne oder externe Gruppen freizugeben. |
Verhindern einer unsachgemäßen Verteilung von sicherheitsrelevanten Informationen Einschränken der Verteilung vertraulicher Informationen |
| Verhindern sie die Zustellung von gekennzeichneten E-Mails oder E-Mail-Anlagen an nicht autorisierte Empfänger. |
Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Organisationen Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Benutzer |
| Beschränken Sie den Upload von bezeichneten Inhalten auf nicht genehmigte Clouddienste oder Auf Speicherorte, an denen nicht autorisierte Benutzer darauf zugreifen können. | Verhindern des Hochladens von sicherheitsklassierten Elementen an nicht verwaltete Speicherorte |
| Verhindern Sie den Zugriff auf bezeichnete Elemente (Dateien oder E-Mails) durch nicht autorisierte Benutzer in Situationen, in denen sie unangemessen freigegeben wurden. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
| Verhindern, dass bezeichnete Elemente in nicht genehmigte Clouddienste hochgeladen werden. Verhindern Sie, dass sie gedruckt, auf USB kopiert, über Bluetooth oder nicht zugelassene App übertragen werden. |
Verhindern der Freigabe von sicherheitsrelevanten Informationen Verhindern des Herunterladens oder Druckens von sicherheitsrelevanten Elementen |
Anforderung 130
Ein angemessener Zugriff auf offizielle Informationen wird ermöglicht, einschließlich der Steuerung des Zugriffs (einschließlich Des Remotezugriffs) auf unterstützende Technologiesysteme, Netzwerke, Infrastruktur, Geräte und Anwendungen.
| Lösungsfunktion | Sections |
|---|---|
| Ermöglicht die Verwendung des bedingten Zugriffs (Conditional Access, CA), um den Zugriff auf die Microsoft 365-Anwendung auf genehmigte Benutzer, Geräte und Standorte zu beschränken, nur wenn die entsprechenden Authentifizierungsanforderungen erfüllt sind. | Bedingter Zugriff |
| Stellen Sie eine präzise Zugriffssteuerung für sensible oder sicherheitsreklassierte Bezeichnete Standorte bereit. | Authentifizierungskontext |
| Bewerten Sie die Benutzerauthentifizierung und -autorisierung zum Zeitpunkt des Zugriffs auf verschlüsselte Elemente (Dateien oder E-Mail). | Verschlüsselung von Vertraulichkeitsbezeichnungen |
Anforderung 131
Der Zugriff auf sicherheitsgeschützte Informationen oder Ressourcen wird nur mitarbeitern gewährt, die diese Informationen kennen müssen.
| Lösungsfunktion | Sections |
|---|---|
| Verwenden Sie initiativenspezifische Vertraulichkeitsbezeichnungen mit aktivierter Verschlüsselung, um zu verhindern, dass personen, die keine Informationen benötigen, auf sicherheitsrelevante Informationen zugreifen. |
Azure Rights Management-Verschlüsselung Aktivieren der Bezeichnungsverschlüsselung |
| Verwenden Sie die Azure Rights Management-Verschlüsselung mit Optionen, mit denen Benutzer benutzerdefinierte Berechtigungen anwenden können, um sicherzustellen, dass nur die von ihnen angegebenen Aufschlüsselungselemente zugreifen können. | Benutzern die Entscheidung überlassen |
| Schränken Sie die Freigabe durch Teammitglieder ein, und stellen Sie sicher, dass besitzer für alle Aktivitäten zum Teilen von Informationen verantwortlich sind. | Andere Freigabeszenarien |
Anforderung 132
Mitarbeiter, die fortlaufenden Zugriff auf sicherheitsrelevante Informationen oder Ressourcen benötigen, werden auf die entsprechende Sicherheitsstufe geordnet.
| Lösungsfunktion | Sections |
|---|---|
| Konfigurieren Sie DLP-Richtlinien, um zu verhindern, dass sicherheitsrelevante Informationen an Benutzer verteilt werden, die nicht auf die entsprechende Ebene gelöscht werden. | Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Organisationen |
| Beschränken Sie den Zugriff auf Standorte, die sicherheitsgesicherte (oder eingeschränkte) Informationen enthalten, auf Personen, die auf die entsprechende Ebene gelöscht werden. | Authentifizierungskontext |
| Verhindern Sie, dass sicherheitsreklassierte oder markierte Informationen an Speicherorte mit niedrigerer Vertraulichkeit verschoben werden, auf die nicht autorisierte Benutzer leicht darauf zugreifen können. | Out-of-Place-Warnungen für Daten |
| Konfigurieren Sie die Verschlüsselung, um sicherzustellen, dass Benutzer, die die organization verlassen, keinen Zugriff mehr auf vertrauliches Material haben. | Verschlüsselung von Vertraulichkeitsbezeichnungen |
Anforderung 133
Mitarbeiter, die Zugang zu eingeschränkten Informationen benötigen, erfüllen alle Vom Absender und der Kontrollbehörde auferlegten Genehmigungs- und Eignungsanforderungen.
| Lösungsfunktion | Sections |
|---|---|
| Verschlüsseln Sie Elemente, und implementieren Sie Berechtigungen, sodass nur autorisierte externe Benutzer, deren Freigabe bewertet status, Zugriff auf Elemente erhalten können. | Zugriff externer Benutzer auf verschlüsselte Elemente |
| Stellen Sie sicher, dass nur entsprechend gelöschte Benutzer in Ihrem organization sicherheitsrelevante Informationen erhalten können. | Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Benutzer |
Anforderung 134
Bei jeder Gelegenheit, bei der der Systemzugriff gewährt wird, wird eine eindeutige Benutzeridentifikations-, Authentifizierungs- und Autorisierungspraxis implementiert, um den Zugriff auf Systeme zu verwalten, die sicherheitsrelevante Informationen enthalten.
| Lösungsfunktion | Sections |
|---|---|
| Konfigurieren Sie Richtlinien für bedingten Zugriff (Ca) so, dass benutzeridentifikation und Authentifizierung erforderlich sind, einschließlich anderer Faktoren der "modernen Authentifizierung", z. B. MFA, verwaltetes Gerät oder bekannter Standort, bevor Sie Zugriff auf Dienste gewähren. | Bedingter Zugriff |
| Wenden Sie andere Anforderungen für bedingten Zugriff auf Benutzer an, wenn sie auf Speicherorte zugreifen, die mit bestimmten Bezeichnungen gekennzeichnet sind. | Authentifizierungskontext |
| Konfigurieren Sie die Bezeichnungsverschlüsselung, die Identität, Authentifizierung und Autorisierung jedes Mal bestätigt, wenn ein Benutzer auf ein verschlüsseltes Element zugreift. | Verschlüsselung von Vertraulichkeitsbezeichnungen |